Los enrutadores Archer TP-Link sin parpadear se han convertido en el objetivo de una nueva campaña de Botnet denominada Ballista, según nuevos hallazgos del equipo de CATO CTRL.
«El Botnet explota una vulnerabilidad de ejecución de código remoto (RCE) en los enrutadores Archer TP-Link (CVE-2023-1389) para propagarse automáticamente a través de Internet», dijeron los investigadores de seguridad dek Vardi y Matan Mittelman en un documentación técnico compartido con Hacker News.
CVE-2023-1389 es una falta de seguridad de inscripción severidad que afecta los enrutadores TP-Link Archer AX-21 que podrían conducir a la inyección de comandos, que luego podrían allanar el camino para la ejecución del código remoto.
La evidencia más temprana de explotación activa de la falta se remonta a abril de 2023, con actores de amenaza no identificados que lo usan para soltar malware Mirai Botnet. Desde entonces, todavía se ha abusado de propagar a otras familias de malware como Condi y Androxgh0st.
Cato CTRL dijo que detectó la campaña Ballista el 10 de enero de 2025. El intento de explotación más fresco se registró el 17 de febrero.
La secuencia de ataque implica el uso de un cuentagotas de malware, un script de shell («dropbpb.sh») que está diseñado para obtener y ejecutar el binario principal en el sistema de destino para diversas arquitecturas del sistema como MIPS, MIPSEL, ARMV5L, ARMV7L y X86_64.
Una vez ejecutado, el malware establece un canal de comando y control (C2) enigmático en el puerto 82 para tomar el control del dispositivo.
«Esto permite que ejecutar comandos de shell realice más ataques de RCE y denegación de servicio (DOS)», dijeron los investigadores. «Encima, el malware intenta estudiar archivos confidenciales en el sistema almacén».
Algunos de los comandos compatibles se enumeran a continuación –
- inundación, que desencadena un ataque de inundación
- Exploitador, que explota CVE-2023-1389
- Inicio, un parámetro opcional que se usa con el usufructuario para iniciar el módulo
- Cerrar, que detiene la función de activación del módulo
- Shell, que ejecuta un comando Linux Shell en el sistema almacén.
- killall, que se usa para terminar el servicio
Encima, es capaz de terminar instancias anteriores de sí misma y borrar su propia presencia una vez que comienza la ejecución. Todavía está diseñado para prolongarse a otros enrutadores intentando explotar el defecto.
El uso de la ubicación de la dirección IP C2 (2.237.57 (.) 70) y la presencia de cadenas de idiomas italianos en los binarios de malware sugiere la décimo de un actor de amenaza italiana desconocida, dijo la compañía de seguridad cibernética.
Dicho esto, parece que el malware está en exposición activo transmitido que la dirección IP ya no es utilitario y existe una nueva transformación del cuentagotas que utiliza dominios de red TOR en puesto de una dirección IP codificada.
Una búsqueda en la plataforma de diligencia de la superficie de ataque revela que más de 6,000 dispositivos son atacados por Ballista. Los dispositivos vulnerables se concentran en Brasil, Polonia, el Reino Unido, Bulgaria y Turquía.
Se ha antagónico que la botnet se dirige a las organizaciones de fabricación, médica/lozanía, servicios y tecnología en los Estados Unidos, Australia, China y México.
«Si adecuadamente esta muestra de malware comparte similitudes con otras botnets, sigue siendo diverso de botnets ampliamente utilizados como Mirai y Mozi», dijeron los investigadores.
